Хотите оценить целостность своей системы Linux® и восстановить потерянные данные без длительной и трудоемкой установки и конфигурирования? Познакомьтесь с двумя пакетами – Helix и Plan-B – которые предоставляют эти возможности с помощью LiveCD.
Расследование компьютерных преступлений
Вторжение в компьютеры или компьютерные сети и использование их в качестве прикрытия для противозаконных действий стало обычным делом, настолько обычным, что необходимыми для этого навыками обладают многие люди. Однако способность обнаружить и поймать злоумышленника не столь распространена. Величайший (хотя и вымышленный) сыщик Шерлок Холмс сказал однажды: «Главная ошибка – строить теории до получения всех доказательств. Это искажает факты».
Сбор доказательств со взломанных систем – работа специалистов по компьютерно-технической экспертизе, Шерлоков Холмсов цифровой эпохи. Для сбора сведений о системе, их критической оценки и анализа они используют специализированные инструменты. Неудивительно, что лучшие инструменты для этой работы – программы с открытым исходным кодом. Популярными инструментами, используемыми не только специалистами по безопасности, но и преподавателями курсов по компьютерной безопасности, являются TCT (The Coroner's Toolkit), Sleuth Kit, Autopsy Forensic Browser и FLAG (Forensics Log Analysis GUI).
Helix
Подобно многим специализированным LiveCD, Helix возник тогда, когда появилась соответствующая потребность.
Helix имеет интерфейс работы с Windows®, позволяющий подключиться для исследования системы с работающей Windows. Было разработано множество программ для реагирования на компьютерные инциденты. Helix используется многими обучающими организациями, включая National White Collar Crime Center (NW3C), System Administrator Network Security Institute (SANS) и National Consortium for Justice Information and Statistics.
Helix не предназначен для установки на жесткий диск, но в будущих версиях такая возможность может появиться.
Рис. 1. Helix, PyFLAG, Adepto и антивирус ClamAV в действии.
Plan-B
Plan-B от Джереми Мак-Дэниэла (Jeremy McDaniel) - это LiveCD для компьютерных расследований, разработанный под влиянием SuperRescue CD от Петера Энвина (Peter Anvin). Он основан на Red Hat 9, использует Blackbox Window Manager и файловую систему zisofs, чтобы уместить на CD в сжатом виде 1,4 Гб данных. LiveCD содержит аналитические средства для проведения расследований (такие как Autopsy, The Sleuth Kit, BCWipe и другие) вместе с обычными программами, такими как почтовые клиенты, браузеры, клиенты чатов и текстовые редакторы. В соответствии с Web-сайтом проекта:
Рис. 2. Plan-B в отчете о проделанном анализе предоставляет знакомый интерфейс командной строки.
Заключение
Представьте себе, что возможности опытного специалиста по компьютерным расследованиям вы можете получить благодаря загрузочному Linux CD. Это не мечта. Это реальность, если использовать любой из LiveCD, описанных в данной статье. Удачного расследования! |